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La present e invention concerne un precede de 
s^curisation de donnees, destine par exemple a §tre mis en 
oeuvre par le microprocesseur d'une carte bancaire ou une 
carte d' autorisation d'acces lors d'uhe connexion S un 
terminal inf ormatique d' authentif ication . 

Les precedes de s6curisation de donn6es de type 
connu mettent en oeuvre un algorithme cryptographique 
comprenant des cycles d' execution d' operations r^p^titives 
de traitement d'614ments de donnees contenus dans une 
memoire de la carte pour elaborer une information chif free 
destinee a etre comntuniquee au terminal informatique . 

L' execution du proc6dg par le microprocesseur de 
la carte engendre 1 ' emission de signaux derives tels que 
des pics de consommation au niveau de 1 'alimentation 
15 elect rique du microprocesseur, ou des variations du 
rayonnement electromagn^tique de sorte que I'enveloppe du 
rayonnement electromagnStique est significative des donnees 
traitees. un fraudeur dgsirant utiliser de fa<?on non 
autorisee les cartes a microprocesseur peut lancer a 
plusieurs reprises 1' execution du precede et analyser les 
signaux derives emis pour etablir des correspondances entre 
les differentes operations de traitement et chaque signal 
ou serie de signaux. A partir de ces correspondances, et en 
soumettant par exemple la carte a des perturbations 
electromagnetiques ou des baisses de tension a des instants 
precis du deroulement de 1 ' algorithme , le fraudeur peut 
etudier 1 ' inf ormation chif free obtenue et les differences, 
ou au contraire I'absence de differences, entre les signaux 
derives emis pour decouvrir les donnees contenues dans la 

30 memoire de la carte. 

Pour compliquer une telle analyse des signaux 
derives, on a pens6 a engendrer des signaux parasites 
venant s'ajouter aux signaux derivSs emis lors de 1' execu- 
tion du precede. L' extraction des signaux correspondant a 

35 l'ex6cution du precede est alors plus delicate mais demeure 
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possible. On a egalement pense a concevoir les composants 
electroniques de la carte et le programme d' execution du 
procede de sorte que les signaux derives emis soient 
independants de la valeur des donnees sensibles , Toutefois, 
ceci complique la realisation des cartes sans assurer une 
protection satisf aisante des donnees. 

Un but de 1' invention est de proposer un procede 
de securisation ef f icace ne present ant pas les inconve- 
nients precites . 

En vue de la realisation de ce but, on prevoit, 
selon 1' invention, un procede de securisation de donnees 
mettant en oeuvre un algorithme cryptographique comprenant 
au moins un cycle d' execution d' operations repetitives de 
traitement d' elements de donnees pour elaborer une informa- 
tion chiffree, ce procede comprenant au moins une etape de 
modification aleatoire de 1 ' execution d' au moins une 
operation d'un cycle a un autre ou d'au moins un des 
elements de donnees de telle sorte que 1 ' information 
chiffree soit inchangee par cette modification aleatoire. 

Par modification aleatoire de 1 ' execution d' au 
moins une operation, on entend une modification de I'ordre 
d' execution d' operations ou de parties d' operations , ou une 
modification du deroulement d' une seule operation . Ainsi , 
au moins une operation et/ou au moins une des donnees 
traitees sont modif iees aleatoirement , ce qui af f ecte de 
fagon aleatoire les signaux derives emis. II est de ce fait 
tres difficile pour un fraudeur de distinguer les dif feren- 
tes operations de traitement et de decouvrir les donnees a 
partir des signaux derives. En outre, la modification 
aleatoire n'affecte pas 1 ' information chiffree de sorte que 
celle-ci peut etre utilisee de fagon habituelle apres son 
elaboration. 

D' autres caracteristiques et avantages de 1 ' in- 
vention apparaitront a la lecture de la description qui 
suit d'un mode de mise en oeuvre particulier non limitatif 

1^ 
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de 1' invention, en relation avec la figure unique annexee 
illustrant sous forme d'un schema par blocs le d6roulement 
du proc6d6 selon ce mode de mise en oeuvre . 

Le precede de securisation selon 1' invention est 
ici decrit mettant en oeuvre un algorithme cryptographique 
de type DES (abrSviation des termes DATA ENCRYPTION 
STANDARD) eri vue d'61aborer une information chiffree C de 
64 bits a partir d'un bloc message M et d'une cle secrete 
Kl eux-memes de 64 bits. 

Le proc6dg debute par la permutation 10 des bits 
du bloc message M entre eux ppur former le bloc MO. 

Le bloc MO est alors divise en deux blocs Ml et 
M2 de 32 bits lors d'une etape de division 20. 

II est ensuite precede a 1' expansion 30 du bloc 
15 M2 pour former un bloc M3 de 48 bits. Cette expansion 30 
est par exemple r6alisee en decoupant le bloc M2 en huit 
quartets et en ajoutant a chaque quartet le bit extreme 
adjacent des quartets encadrant le quartet concerne (les 
quartets extremes etant consideres comme adjacentes) . 

Parallelement a ces operations, une permutation 
110 est ef fectuee sur les bits de la cle Kl pour former la 
cl§ K2. Les bits non signif icatif s de la cle Kl sont 
simultanement supprimes de sorte que la cle K2 a seulement 
56 bits. 

Selon 1' invention, les bits de la cl€ K2 sont 
alors modifies aleatoirement lors d'une transformation 120. 
Les bits de la cle K3 correspondant aux bits modifies de la 
cle K2, ici marquSs par une 6toile, sont memorises. La 
transformation aleatoire 120 est par exemple realisee en 
associant a la cl6 K2, par 1 ' intermediaire d'un opSrateur 
logique de type OU exclusif, un nombre aleatoire engendre 
par un generateur de nombres non pr^dictibles de la carte. 

Une cle K4 est obtenue par la rotation 13 0 des 
bits de la cle K3 . Puis, une permutation 140 est r€alisee 
sur les bits de la cl6 K4 pour former la cl€ K5 . Simultane- 

T 
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ment a la permutation 140, les bits non signif icatif s de la 
cle K4 sont elimines de sorte que la cle K5 comport e 4 8 
bits . 

Le procede se poursuit par 1 ' association 210 du 
bloc M3 et de la cle K5 par 1 ' intermediaire d'un operateur 
logique de type OU exclusif . Le resultat de cette associa- 
tion est le bloc Rl . 

La transformation inverse des bits du bloc Rl 
correspondant aux bits modifies par la transformation 120 
est ensuite realisee pour former le bloc R2 . Cette trans- 
formation 220 inverse de la transformation 120 vise a 
remettre les bits du bloc Rl correspondant aux bits marques 
d'une etoile dans I'etat dans lequel ils auraient ete en 
1' absence de la transformation 120. 

II est ensuite procede, de faqon classique, a la 
division et au traitement 230 du bloc R2, a la permutation 
24 0 des bits du bloc R3 formes lors de I'etape 23 0, et a 
1' association 250 du bloc R4 resultat de 1 ' etape 240 au 
bloc Ml par un operateur OU exclusif pour former le bloc 
R5. 

Le groupe d' operations , designe de maniere gene- 
rale par la reference 270, est ensuite execute a nouveau a 
quinze reprises en affectant, a chacune de celles-ci, la 
valeur du bloc Ml au bloc M2 et la valeur du bloc R5 au 
bloc Ml lors d'une etape d' affectation 260. 

Le procede se termine par 1' operation 3 00 d'ob- 
tention de 1 ' information chiffree C par la permutation 
inverse et la reunion du bloc dernier M2 et du bloc dernier 
R5 obtenus . 

On comprend que 1' etape de modification aleatoire 
de la cle K2 comprend la phase de transformation 120 et la 
phase de transformation inverse 220. Ces deux phases 
permettent d'obtenir une information chiffree C qui n'est 
pas affectee par cette modification aleatoire. 

On pourrait egalement realiser de la meme maniere 
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une modification alSatoire du bloc M2 at/ou d-une autre 

selon un autre ».ode de mise an oeuvre de 1' inven- 
tion, lequel peut atra associ* i una 4tape da modification 
telle que prScidamment d4crlte, l'ex*cution d-au moxns une 
operation peut 4tre modifiae de fa.on aliatoire d'un cycle 
II. autre, un cycle pouvant itre un cycle co.plet d execu- 
tion da l.algorithme ou un cycle intarmMiaire d- execution 
d'un groupe d' operations. ^ . 

Par exemple, una determination aleatoira de 
l.ordra d' execution de certalnes pparations P-"' 
rialisae au cours d-un cycle d-axScutlon da I'algorrttae. 
^es operation, retenues saront cellas dont I'ordra d' execu- 
tion les Unas par rapport aux autres n' influent pas sur le 
rSsultat. pour r*alisar catta dStermination, - 
privoir a la fin des op*ratlons choisies un saut condrt.on- 
nel vers certainas operations an fonction de la valaur d-un 
nombre al.atoire ou d«f inir un tableau des adresses des 
differentes operations parcouru de facon alSatoire 

A titre d' exemple, la permutation 10 des brts du 
bloc message M pourrait «tre effactuSe apr*s la permutation 
110 des bits de la cla Kl ou inversement . 

Da mtae, il pourrait 6tre prSvu une determination 
alaatoire da I'ordre d-exicution des operations ^du groupe 
, 270 pour chaque cycle intermidiaire d'exicutxon <^-_-"-- 
ci (16 cycles intarm*dialras d'axecution de cas oparatxons 
pour un cycle complat d-ex*cution de ^'.^^^"-^''-'^ 
Lore, 1-ordre d'axScution de ces operations sera chorsr 
pour ne pas Influer sur le r*sultat. 

par ailleurs, pour certaines operations, les 
donnees sont traiteas par eUments. Ainsi, lors de 1- expan- 
sion 30, les blocs M2 sont trait^s par quartets Lors 
ca«a operation, on peut pr*voir de determiner aleatoire- 
Ilnt 1 ordre de traitament das diffSrents quartets. Da 
. , lors de la permutation 140 les bi^de la cU K. sont 
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trait^s individuellement . Une etape de determination 
aleatoire de I'ordre de traitetnent des bits peut egalement 
§tre prevue pour I'execution de cette permutation. Les 
quartets du bloc M2 peuvent egalement etre traites en 
alternance avec les bits de la cle K4, c'est-S-dire que 
I'on traite par exemple un premier quartet du bloc M2 puis 
une serie de bits de la clg K4, puis un deuxidme quartet du 
bloc M2 etc., en memorisant a chaque fois les elements de 
donnee traites afin de controler que toutes les operations 
requises sont bien executees . 

Bien entendu, 1' invention n'est pas limitee au 
mode de realisation qui vient d'etre decrit, mais englobe 
au contraire toute variants reprenant, avec des moyens 
Equivalents, ses caracterist iques essent ielles . 

En particulier, bien que 1' invention ait ete 
decrite en relation avec un algorithme de type DES, 
1' invention peut Stre appliquee a d'autres algorithms^ 
cryptographiques tels que 1' algorithme RSA (abreviation du 
nom de ses auteurs Riverst, Shamir , Adelman) ou I'algo- 
20 rithme dit de Fiat Shamir. 

Par ailleurs, les nombres de bits des donnees ne 
sont mentionngs qu'a titre indicatif et peuvent etre 
modifies pour etre adapt#s au degre de sEcurisation 
envisage . ^ 
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T?P.VP.wnTC:ATIONS 
1. Precede de securisation de donnfies mettant en 
oeuvre un algorithme cryptographique comprenant au moins un 
cycle d' execution d' operations repetitives de traitement 
d' elements de donn^es (K2, Rl) pour elaborer une informa- 
tion chif free (C), caracteris6 en ce qu'il comprend au 
moins une etape (120, 220) de modification aleatoire de 
1' execution d' au moins une operation d'un cycle a un autre 
ou d'au moins un des Elements de donnees de telle sorte que 
1' information chiffr^e soit inchangee par cette modifica- 
tion aleatoire. 

2. Procede de securisation selon la revendication 
1, caracterisg en ce que 1' etape de modification aleatoire 
comprend le traitement dans un ordre aleatoire de bits ou 
de groupes de bits d'au moins un elltnent de dohnee. 

3. Procede de s^curiisation selon la revendication 
1 ou la revendication 2, caracterise en ce que 1' etape de 
modification aleatoire comprend une phase (120) de trans- 
formation aleatoire d' elements d'au moins une donnee, et, 
posterieurement a au moins une operation (130. 140, 210) de 
traitement de cette donnee, une phase (220) de transforma- 
tion inverse des Elements de la donnee traitee correspon- 
dant aux elements prealablement transf orm6s . 
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"\|^ Permutation du bloc 
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Permutation des bits 
delacle K1-»cleK2 
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.Expansion du bloc M2-»M3 
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Transformation aleatoire 
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Rotation des bits de ^ L 

ladeK3-#deK4 "^H^ 
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Pennutation des bits de 
la de K4-^de K5 
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M3XOR de K5-»^bloc R1 
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Transformation inverse des 
bits du bloc R1 con-espondant 
aux bits * de la de K3 -►blocR2 
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□vision et traitement 
du bloc RZ-^-bloc R3 
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Permutation des bits du bloc R3 ■» bloc R4 ^ 



2401 



R4XORMWblocR5 - 








Permutatior 
reunion du 
du bloc R£ 


1 inverse et 
bloc M2 et 
>-*blocC 



250 



300 



ocuments re<jU3 
le : /y^o^ - Si) 
Non ex3min6s pjlf 



RKVENDICATIQNS 

1. Precede de securisation de donnees mettant: en 
oeuvre un algorithme cryptographique comprenant au moins un 
cycle d' execution d' operations repetitives de traitement 

5 d' elements de donnees (K2, Rl) pour elaborer une informa- 
tion chiffree (C) , caracterise en ce qu' il comprend au 
moins une 4tape (120, 220) de modification aleatoire de 
1' execution d'au moins une operation d'un cycle a un autre 
de telle sorte que 1' information chiffree soit inchangee 
10 par cette modification aleatoire. 

2. Precede de securisation selon la revendication 
1, caracterise en ce que I'etape de modification aleatoire 
comprend le traitement dans un ordre aleatoire de bits ou 
de groupes de bits d'au moins lin element de donnee. 
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